Blizzard-Spiele machten Rechner der Nutzer leicht angreifbar (Update)
Die Nutzer diverser Blizzard-Spiele waren über eine Schwachstelle im Blizzard Update Agent angreifbar. Sicherheitsforscher aus Googles Project Zero-Team hatten die Schwachstelle ausfindig gemacht, über die ein Angreifer beliebige Codes auf einen Rechner schleusen und diesen so letztlich komplett übernehmen konnte.
Der Update Agent ist ein ziemlich mächtiges Tool. Über ihn können nicht nur Patches an die installierten Spiele ausgeliefert werden, zu Wartungszwecken lassen sich beispielsweise auch die getätigten Einstellungen verändern. Dabei sorgte ein integriertes Authentifizierungssystem eigentlich durchaus dafür, dass nur Codes zur Geltung kamen, die auch von Blizzard abgesegnet waren.
Es stellte sich bei genauerer Untersuchung aber heraus, dass der Mechanismus eine Schwachstelle aufwies und umgangen werden konnte. Mit einem DNS-Rebindung-Angriff konnten Skripte, die in eine Webseite eingebettet waren, vortäuschen, Daten von einem Blizzard-Server zu senden. Dass die Informationen im Grunde vom lokalen Browser an den Server-Dienst im Update Agent geschickt wurden, spielte dabei keine Rolle.
Einzig die Lösung ist nach Einschätzung Ormandys nicht gerade ideal. Er hatte demnach vorgeschlagen, eine White List in den Agent zu integrieren, anhand derer doppelt abgesichert wird, welche Quelle vertrauenswürdig ist. Blizzard hat sich aber wohl dafür entschieden, mit einer Black List zu arbeiten. Hier wird über einen Hash geprüft, woher die Daten kommen - und die Programmdateien der lokalen Browser sind gesperrt. Interessant: Microsoft Edge ist darin nicht gelistet, entweder hat Blizzard diesen vergessen oder nimmt diesen schlichtweg nicht wichtig genug.
Update 19 Uhr: Blizzard hat sich mittlerweile auch zu dem Problem geäußert. Demnach arbeitet das Team nun an einem "robusteren Whitelist-Fix für Host-Header" und werde ihn bald implementieren. Der ausführbare Blacklisting-Code ist veraltet und nicht als Lösung für dieses Problem gedacht, so Blizzard: "Wir sind in Kontakt mit Tavis, um solche Missverständnisse in der Zukunft zu vermeiden."
Download StarCraft - Blizzards Strategie-Klassiker
Es stellte sich bei genauerer Untersuchung aber heraus, dass der Mechanismus eine Schwachstelle aufwies und umgangen werden konnte. Mit einem DNS-Rebindung-Angriff konnten Skripte, die in eine Webseite eingebettet waren, vortäuschen, Daten von einem Blizzard-Server zu senden. Dass die Informationen im Grunde vom lokalen Browser an den Server-Dienst im Update Agent geschickt wurden, spielte dabei keine Rolle.
Schweigen im Walde
Der Google-Entwickler Tavis Ormandy hatte das Problem vor einiger Zeit an Blizzard gemeldet. Nachdem aber einige E-Mails hin und her gegangen waren, habe das Unternehmen plötzlich geschwiegen, berichtete der Sicherheitsforscher gegenüber dem britischen Magazins The Register. Da sich jetzt aber herausstellte, dass Blizzard zwischenzeitlich in aller Stille einen Patch ausgeliefert hat, veröffentlichte er weitergehende Informationen zu dem Problem.Einzig die Lösung ist nach Einschätzung Ormandys nicht gerade ideal. Er hatte demnach vorgeschlagen, eine White List in den Agent zu integrieren, anhand derer doppelt abgesichert wird, welche Quelle vertrauenswürdig ist. Blizzard hat sich aber wohl dafür entschieden, mit einer Black List zu arbeiten. Hier wird über einen Hash geprüft, woher die Daten kommen - und die Programmdateien der lokalen Browser sind gesperrt. Interessant: Microsoft Edge ist darin nicht gelistet, entweder hat Blizzard diesen vergessen oder nimmt diesen schlichtweg nicht wichtig genug.
Update 19 Uhr: Blizzard hat sich mittlerweile auch zu dem Problem geäußert. Demnach arbeitet das Team nun an einem "robusteren Whitelist-Fix für Host-Header" und werde ihn bald implementieren. Der ausführbare Blacklisting-Code ist veraltet und nicht als Lösung für dieses Problem gedacht, so Blizzard: "Wir sind in Kontakt mit Tavis, um solche Missverständnisse in der Zukunft zu vermeiden."
Download StarCraft - Blizzards Strategie-Klassiker
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen